修改从服务器的主配置文件
vim /etc/named.conf options { listen-on port 53 { 10.0.0.56; }; allow-query { any; }; recursion yes; dnssec-enable no; dnssec-validation no; }; include "/etc/named.rfc1912.zones";创建区域文件,因为从服务器只是同步主服务器的数据,所以不需要解析的数据库文件,只需要设定好谁是主服务器即可。
zone "jd.com" IN { //设定需要同步的区域,主从是相对于区域而言的所以要设定区域。 type slave; //设定服务器类型为slave从 masters { 10.0.0.57 ;}; //设定主服务器的IP地址 file "slaves/jd.com.zone"; //主服务配置文件都会在/var/named/slaves目录下,设定同步回来的数据库文件名 }; zone "bj.jd.com" IN { //含义与上面类似,这里设置同步自己管理的子域 type slave; masters { 10.0.0.57 ;}; file "slaves/bj.jd.com.zone"; }; 3.印度后面印度分公司与上海分公司的配置除了设定一下需要转发的区域,其他的跟之前的主服务器配置都是大同小异。所以下面的仅仅对不通配置进行标注。
options { listen-on port 53 { 10.0.0.67; }; // listen-on-v6 port 53 { ::1; }; allow-query { any; }; recursion yes; dnssec-enable no; dnssec-validation no; }; include "/etc/named.rfc1912.zones";设定转发区域。由于子公司仅仅管理自己的yd.jd.com域,那公司内部需要访问总公司的域名,就需要将其转发至上游的总公司。
zone "yd.jd.com" IN { type master; file "yd.jd.com.zone"; }; zone "jd.com" IN { //设定转发,客户端访问jd.com域时全部转发至指定的服务器 type forward; forward first; forwarders {10.0.0.57;}; //设定转发至10.0.0.57服务器。 };创建印度分公司的区域解析文件
$TTL 1D @ IN SOA dns root.yd.jd.com. ( 1 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum NS dns dns A 10.0.0.67 oa A 10.40.0.13 ftp A 10.40.0.12 4.上海修改主配置文件
options { listen-on port 53 { 10.0.0.66; }; listen-on-v6 port 53 { ::1; }; allow-query { any; }; recursion yes; dnssec-enable no; dnssec-validation no; }; include "/etc/named.rfc1912.zones";创建区域记录,设定转发
zone "sh.jd.com" IN { type master; file "sh.jd.com.zone"; }; zone "jd.com" IN { //设定转发,客户端访问jd.com域时全部转发至指定的服务器 type forward; forward first; forwarders {10.0.0.57;}; //设定转发至10.0.0.57服务器。 };创建上海分公司自己管理的区域解析文件。
$TTL 1D @ IN SOA dns root.sh.jd.com. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum NS dns dns A 10.0.0.66 ftp A 10.30.0.12 oa A 10.30.0.1 四、结果测试将windwos的DNS设置为10.0.0.66,然后尝试解析10.0.0.67管理的域。成功得到解析结果。
权限:BIND安装时会创建一个用户,BIND运行也是用此用户的身份运行的。所以在解析的时候要确保创建的namde用户拥有对数据可的读权限。
端口:在bind的主配置文件named.conf确保监听的端口已经设置、确保可以对所有人提供DNS服务。
主从更新机制:当Master的版本号变大时,Slave才会同步Master上的数据。
SELinux:SELinux安全的可能让自己也无法访问服务,索性直接关闭
Iptables:当任何配置都没有错误的时候注意防火墙是否配置正确
创建委派:创建委派一定要将主主配置文件dnssec-enable与dnssec-validation设置为no
七、安全相关在全局配置文件中/etc/named.conf可以配置与安全相关的选项
allow-query {}: 允许查询的主机;白名单
allow-transfer {}:允许区域传送的主机;白名单
allow-recursion {}: 允许递归的主机,建议全局使用
allow-update {}: 允许更新区域数据库中的内容